Критическая уязвимость в cPanel позволила новой хакерской группировке Mr_Rot13 атаковать правительственные сети Юго-Восточной Азии

Специалисты компании XLab, занимающейся мониторингом глобальных сетевых угроз, зафиксировали более двух тысяч уникальных атакующих IP-адресов. Эти источники распределены по всему миру, но основная их часть сосредоточена в Германии, США, Бразилии и Нидерландах. Характер атак говорит о том, что уязвимость эксплуатируется организованными преступными группами: наблюдаются попытки внедрения программ-вымогателей, развёртывания криптомайнеров, включения заражённых машин в ботнеты и установки бэкдоров.

Особую тревогу вызвал инцидент, произошедший 2 мая. Согласно сообщению независимой исследовательской группы Ctrl-Alt-Intel, хакеры сумели проникнуть в инфраструктуру государственных и военных учреждений одной из стран Юго-Восточной Азии. В результате атаки было похищено около 4,37 гигабайта конфиденциальных файлов, датированных периодом с 2020 по 2024 год. Отчёт исследователей указывает, что среди украденных данных - документы внутреннего документооборота, вероятно, содержащие служебную переписку и оперативную информацию.

В ходе анализа вредоносных нагрузок, доставляемых через CVE-2026-41940, эксперты XLab обнаружили необычный загрузчик, написанный на языке Go. Он получил внутреннее название Payload Infectioner. Его код содержит множество отладочных сообщений на турецком языке, что наводит на мысль об использовании инструментов искусственного интеллекта для автоматизации разработки. Основная цель загрузчика - закрепиться в скомпрометированной системе: он меняет пароль учётной записи root (на стандартный 123Qwe123C), внедряет SSH-ключ для удалённого доступа, устанавливает PHP-оболочку (веб-шелл) и модифицирует страницу входа в панель cPanel, чтобы перехватывать логины и пароли администраторов.

Особого внимания заслуживает техника кражи учётных данных. Загрузчик скачивает файл login.js, который встраивается в HTML-шаблон страницы авторизации. При вводе пользователем имени и пароля JavaScript перехватывает эти данные вместе с информацией об устройстве и отправляет их на сервер злоумышленников. Адрес сервера зашифрован с помощью алгоритма ROT13 - простого сдвига букв на 13 позиций. После расшифровки получается домен wrned.com, который, как выяснилось в ходе расследования, используется хакерами с 2020 года.

Помимо кражи учётных данных, загрузчик устанавливает полноценный инструмент удалённого управления - Filemanager. Это кроссплатформенный троян, работающий на Windows, Linux и macOS. Он предоставляет злоумышленнику веб-интерфейс для просмотра и загрузки файлов, выполнения команд оболочки и запуска произвольных процессов. Filemanager не принимает пароль в открытом виде: администратор должен сначала вычислить bcrypt-хеш и передать его через специальный параметр.

Собранную информацию загрузчик передаёт по нескольким каналам. Основной - POST-запросы на тот же домен cp.dene.de[.]com. Резервный канал - Telegram-бот под именем log_FatherBot. В процессе анализа были найдены два токена для этого бота. Один из них был скомпрометирован 4 мая, когда неизвестный пользователь с ID xrill_y отправил боту сообщение. Увидев это, группа оперативно сменила токен и вывела бота из группы, вернув обратно лишь спустя три дня.

Сам факт использования ROT13 для маскировки C2-серверов и шестилетняя история активности без выявления позволили исследователям дать группе условное название - Mr_Rot13. Похоже, что это не молодые хакеры, действующие по шаблону, а опытные киберпреступники, которые годами оставались незамеченными для антивирусных продуктов. В подтверждение этому найден PHP-бэкдор, загруженный на VirusTotal ещё в 2022 году и до сих пор не обнаруживаемый ни одним из 60 с лишним движков. Он связывается с тем же доменом wrned[.]com и использует шифрование RC4 для скрытия своей полезной нагрузки. Исследователям пока не удалось получить ответ от C2, поэтому точные возможности этого бэкдора остаются неизвестными. Однако сам факт его существования указывает на то, что WordPress также входит в число целей группы.

На данный момент известно, что в Telegram-группе Mr_Rot13 состоит всего три участника, а создатель использует никнейм 0xWR. Установить их реальные личности пока не удалось. Учитывая, что уязвимость CVE-2026-41940 продолжает активно эксплуатироваться, а атакующие применяют сложный многоступенчатый инструментарий, администраторам серверов cPanel настоятельно рекомендуется как можно скорее установить патч, выпущенный разработчиком. Без обновления любой сервер с открытым веб-интерфейсом управления рискует быть полностью захвачен за считанные минуты. Следует также проверить наличие подозрительных SSH-ключей, нестандартных PHP-файлов в каталогах cPanel и необычных активных процессов. Специалисты XLab продолжат наблюдение за активностью Mr_Rot13 и призывают всех, кто обладает дополнительной информацией, делиться ею для совместной защиты сетевой инфраструктуры.

IPv4

• 149.102.229.146
• 178.249.209.182

Domains

• wrned.com

URLs

• https://cp.dene.de.com/adminer.php
• https://cp.dene.de.com/collect.php
• https://cp.dene.de.com/cpanel.py
• https://cp.dene.de.com/login.js
• https://cp.dene.de.com/Update
• https://wpsock.com/cpanel/dist/filemanager-darwin-amd64
• https://wpsock.com/cpanel/dist/filemanager-darwin-arm64
• https://wpsock.com/cpanel/dist/filemanager-linux-386
• https://wpsock.com/cpanel/dist/filemanager-linux-amd64
• https://wpsock.com/cpanel/dist/filemanager-linux-arm64
• https://wpsock.com/cpanel/dist/filemanager-linux-armv7
• https://wpsock.com/cpanel/dist/filemanager-windows-386.exe
• https://wpsock.com/cpanel/dist/filemanager-windows-amd64.exe
• https://wpsock.com/cpanel/install.sh
• https://wrned.com/log.php

Telegram Token & Channel & USER ID

• Token
  • 1190043163:AAEy1FDoB_r8KFiOIqsEpgDQ2k78Ai6BdWk (Revoked)
  • 1190043163:AAFtaUfpui9fqKoRnqOa5XvT6MHLcK1axiU (Active )
• Group: -443071772
• BOT ID:1190043163
• OxWR ID: 1209569354

MD5

• 02a5990b11293236e01f174f5999df20
• 22613c952459e65ce09fb6b5c1c03d47
• 2286f126ab4740ccf2595ad1fa0c615c
• 29222f5e73dd10088fcf1204aa21f87f
• 2de27ca8d97124adaf604b18161a441e
• 45fc93426cf08f91c9f9de5f04a12263
• 711afb014f64c97d7b31685709c34ce7
• 9305b4ebbb4d39907cf36b62989a6af3
• bae1f1bce7c82fa86f05b12e2e254cfc
• e1ec6ebb96cf87c785ee6a7da677c059
• e49f68a363c867608972680799389daf
• fb1bc3f935fdeb3555465070ba2db33c